Напоследък месинджърът Telegram набра изключително широка популярност като приложение за интернет комуникация с криптирани съобщения и телефонни разговори. Софтуерът се популяризира като сигурно приложение за конфиденциална комуникация. Сега обаче експерт по киберсигурност доказа, че конфигурацията по подразбиране на Telegram има сериозна уязвимост, която позволява изтичането на IP адресите на потребителите по време на телефонно обаждане.
Проблемът се състои в една настройка по подразбиране на Telegram, която позволява гласовите повиквания да се осъществяват през P2P. При използване на P2P за провеждане на обаждане през Telegram, IP адресите на хората, с когото говорите, се показват в регистрационните файлове на конзолата на Telegram. Не всички софтуерни версии на приложението имат такъв лог файл на конзолата, например, Windows версията няма, а Linux вариантът има.
Откривател на уязвимостта в приложението е специалистът по киберсигурност, известен с псевдонима Dhiraj. Най-същественият проблем обаче се състои в това, че можете да деактивирате P2P повикванията и така да избегнете свързаното с тях изтичане на IP адреси от iOS и Android, но официалната версия на Telegram за настолно приложение (Tdesktop) и Telegram Messenger за Windows не предлагат такава възможност за забрана на P2P повикванията.
На практика това означава, че IP адресите на тези потребители ще изтичат винаги, когато използват Telegram, за да проведат разговор. Можете да видите пример за изтекъл IP адрес в конзолата за десктоп версията на Telegram за Ubuntu.
„Във видеодоказателствата ми може да се види как изтичат 3 IP адреса: 1. IP адресът на сървъра на Telegram (това – добре) 2. Вашият собствен IP (дори това не е много зле) 3. Потребителското IP (това вече въобще не е наред)“, Dhiraj обяснява откритието си.
Експертът по киберсигурност е награден с 2 000 евро за това, че е докладвал за уязвимостта, а тя е идентифицирана като CVE-2018-17780. Проблемът с изтичането на IP адреси е поправен в настолните версии на Telegram 1.3.17 beta и 1.4.0.
Потребителите на Telegram могат да се защитят сами и да предотвратят разкриването на IP адреса си, като променят следните настройки:
Settings -> Private and Security -> Voice Calls -> Peer-To-Peer на Never или Nobody.
Така обажданията ще бъдат пренасочвани към сървърите на Telegram, а това ще скрие IP адреса. Но, разбира се, няма да бъде без последствия – качеството на звука ще бъде леко понижено.
Остава обаче напълно неясно защо именно Telegram – приложение, което се гордее със сигурността и поверителността си, би позволило по подразбиране P2P обажданията, след като е публично известно, че по този начин могат да изтекат IP адресите. Не е ясно също така и защо от Telegram отказват коментар на този гаф с потребителската киберсигурност. Едно е сигурно обаче – никой не е достатъчно добре защитен в днешния технологичен свят.
Снимки: bleepingcomputer.com
